Check Point y Phylum advierten sobre paquetes NPM y PyPI recientemente
identificados diseñados para robar información del usuario y descargar
payloads adicionales.
Los repositorios Node.js (NPM) y Python (PyPI) son los objetivos preferidos para los paquetes maliciosos, principalmente porque la ejecución del código puede activarse durante la instalación del paquete, señala Check Point.
Según un informe de Sonatype de octubre de 2022, la cantidad de ataques a la cadena de suministro de software observados en
2022 fue un 633% mayor en comparación con el año anterior.
Aprovechando el amplio uso del código fuente abierto en el desarrollo de
aplicaciones, los actores maliciosos confían cada vez más en los ataques de la
cadena de suministro de software para infectar con malware tanto a los
desarrolladores como a los usuarios.
En un nuevo informe, la firma de ciberseguridad dice que ha identificado
dos paquetes maliciosos de Python
que se ajustan a esta descripción. El primero de ellos, Python-drgn, se
subió a PyPI el 8 de agosto de 2022. Basándose en errores tipográficos, el
paquete está destinado a atraer a los usuarios que buscan Drgn, un
depurador con énfasis en la programabilidad.
El paquete malicioso consta de un solo archivo setup.py, que se ejecuta
automáticamente durante la instalación del paquete y que contiene malware.
Cuando se ejecuta, el malware almacena el nombre de usuario, la ruta del
directorio de trabajo y la información de red, y lo envía a un canal de Slack
privado y remoto. El segundo paquete malicioso se llama bloxflip, y es un error tipográfico del
paquete Bloxflip.py, que es un envoltorio API para bloxflip[].com.
El código malicioso dentro de bloxflip desactiva Windows Defender para evitar
la detección, luego obtiene un ejecutable de un servidor remoto, crea un
subproceso y ejecuta la carga útil maliciosa.
Phylum, por otro lado, dice que ha descubierto más de
100 paquetes NPM maliciosos
que contienen la carga útil en el script de post-instalación de
package.json, que se ejecuta durante la instalación del paquete.
El script malicioso recopila varios tipos de información del sistema
infectado (incluido el nombre de host, el nombre de usuario, el directorio de
trabajo y el nombre y la versión del paquete) y la envía a un servidor
controlado por el atacante.
La empresa de seguridad de la cadena de suministro de software también observó
que los autores del paquete cambiaban la dirección del servidor remoto en el
transcurso de 24 horas.
«Los ataques a la cadena de suministro de paquetes de código, en los que
los atacantes publican paquetes maliciosos o inyectan código malicioso en
paquetes de código legítimos distribuidos a través de repositorios de código
en línea y administradores de paquetes, han aumentado significativamente en
los últimos años. Estos ataques pueden tener graves consecuencias, incluido
el compromiso de los datos, la interrupción operativa y el daño a la
reputación», concluye Check Point.
Fuente:
SecurityWeek
Los comentarios están cerrados.